FRST (Farbar Recovery Scan Tool )-Diagnostyka systemu, tworzenie logów z systemu

Farbar Recovery Scan Tool ( FRST) 

Jest to aplikacja przeznaczona do diagnozowania systemu w celu  usuwania infekcji jak i wyszukania błędów technicznych w systemie, które powodują jego niestabilność. Program jest przewidziany do pracy z systemami Windows XP / Vista / Windows 7 / Windows 8 32-bit i 64-bit .

FRST podczas  działania pozwala na stworzenie  logów zawierających informacje o  komponentach systemu,jak jego rejestr, usługi i procesy, sterowniki urządzeń ,biblioteki DLL. Z jego poziomu wyszukamy także dowolne zdefiniowane przez użytkownika pliki. Do usuwania wykrytych problemów służy opcja 'Fix', która bazuje na stworzonych wcześniej przy użyciu narzędzia skryptach naprawczych.

Program może pracować w dwóch trybach, spod uruchomionego Windows i ze poziomu zewnętrznego środowiska gdy system Windows się nie uruchamia.

Jest to program podobny do "OTL", jego zaletą jet to, że jest on rozwijany i pokazuje znacznie więcej niż wspomniany "OTL" w skanach. Posiada wsparcie dla Windows 8 i wsparcie dla systemów 64 Bit.

Pobrać możemy go ze strony:

Download.

Po pobraniu programu, by go uruchomić, należy tradycyjnie kliknąć niego dwa razy lewym przyciskiem myszy:

Jeśli w systemie Windows 7 nie mamy wyłączonej kontroli "UAC" to należy potwierdzić uruchomienie aplikacji:

Podobnie w Windows 8 kiedy zgłosi się "SmartScreen" blokujący uruchomienie:

Dalej potwierdzamy uruchomienie programu przez kliknięcie "Tak". Tu zostaje wyświetlona klauzula użytkowania programu, pokaże się także tylko raz podczas pierwszego uruchomienia:

W systemach Windows Vista/7/8 wymagany jest tryb administratora do uruchomienia programu.

Aplikacja zaczyna swoje działanie od tworzenia kopii zapasowej rejestru systemowego. Kopia jest tworzona tylko podczas pierwszego uruchomienia aplikacji, kolejne uruchomienia nie tworzą już takiej kopii i nie nadpisują wcześniej utworzonej. Należy zaczekać na jej ukończenie.

FRST posiada funkcję auto aktualizacji. Gdy program wykryje nowszą wersję, to ją pobierze, samoczynnie się zamknie i uruchomi ponownie. Stara kopia "FRST"jest przenoszona do folderu :

 "FRST-OlderVersion ".

Jest on zlokalizowany w tym samym gdzie FRST.

Pokaże się właściwe okno startowe  programu. Należy skonfigurować jak na załączonym obrazku niżej :

W sekcji "Optional Scan" zaznaczamy jak na zdjęciu wyżej "Shortcut.txt" i "Addition.txt". W sekcji "Whitelist" powinny być zaznaczone wszystkie opcje. Zakończenie skanowania systemu jest sygnalizowane odpowiednim komunikatem:

Zostaną wyświetlone raporty w postaci tekstowej:

Drugim sposobem jest uruchomienie go z menu startowego Windows po wciskaniu klawisza "F8" po starcie BIOS ,a przed startem Windows i wybranie z menu rozruchowego opcji "Napraw system":

Trzecim sposobem jest skorzystanie z gotowej płytki naprawczej "WinRE" którą możemy sami utworzyć u kolegi lub pobrać z sieci, gotową pod rodzaj systemu (32 bit lub 64 bit).

By utworzyć płytkę naprawczą z "WinRE" w systemie Windows Vista/7/8 w pole wyszukiwania po naciśnięciu menu "Start" wpisujemy "napraw", potem z menu na liście szukania wybieramy opcje "Utwórz dysk naprawy systemu".postępujemy zgodnie z kreatorem.

Podaje poniżej stronę gdzie można pobrać taką płytkę legalnie, ale z powodów licencyjnych linki są płatne, ale można i nielegalnie w razie konieczności z Torrentów, ale tu nie będę się już rozpisywać jak to zrobić.

Najlepiej po prostu udać się do znajomego, który ma taki sam system i taką płytkę sobie nagrać.

"NeoSmart Technologies".

FRST uruchomiony w za pomocą środowiska "WinRE" umożliwia skanowanie systemu, utworzenie loga tekstowego, który zawiera miejsca, gdzie może występować "malware". Raport nie zawiera wpisów, które nie są istotne dla startu systemu Windows. Celem uruchomienia głównym FRST w tym trybie jest analiza komponentów startowych w systemie ,rootkitów. Gdy uda się przywrócić działanie systemu "FRST" uruchamiamy z poziomu startującego już Windows,a szczegółowy log utworzony już w trybie Windowsa pokaże szczegóły systemu i jego resztę komponentów.

Do uruchomienia FRST potrzebujemy zgodnego bitowo programu z posiadaną wersją systemu Windows jak i środowiska "WinRE". Czyli jak posiadamy np. Windows 7 32 Bit to taką wersję "WinRE" potrzebujemy jak i FRST 32 Bit. Zamiast płyty wystarczy dostęp do srodowiska "WinRE" po wywołaniu menu rozruchu systemu klawiszem "F8" o ile jest taka możliwość.

W dalszym kroku potrzebujemy Pendrive, na który wcześniej wkleimy zgodną wersję FRST z systemem.

Gotowy Pendrive podłączamy do komputera, dalej wchodzimy do "WinRE",tu albo za pomocą klawisza "F8" i potem z menu rozruchu systemu w "Napraw komputer" lub za pomocą płyty instalacyjnej systemu Windows, z której wybieramy opcje "Napraw komputer"  lub bootujemy od razu komputer z płytki naprawczej z WinRE" która wcześniej przygotowaliśmy, lub pobraliśmy z sieci.

Aby zbootować z płytki komputer z "WinRE" czy zbootować z płyty instalacyjnej  systemu "WinRE" należy wcześniej w opcjach "BIOS/UEFI" ustawić w pierwszej kolejności rozruch z nośnika optycznego,lub zastosować tak zwane "Boot Menu" komputera, czyli po załadowaniu BIOS wywołać rozruch z "BOOT Menu" wciskając odpowiedni klawisz.jaki to klawisz zależy od modelu komputera, rodzaju BIOS'u, często po załadowaniu BIOS ta opcja wyboru jest wyświetlana na ekranie przed startem Windows. Najczęściej jest to klawisz "F12".

W UEFI to będzie :

UEFI Boot Order >> Internal CD-DVD ROM >> przestawiamy na pierwszą pozycję.

Przesatawiamy tak samo jeszcze "Legancy Boot Order"

Opcje "BOOT Menu" wywołuje się podobnie kalwaiszem "F12",ale czy to ten klawisz nalezy sprawdzić w instrukcji komputera czy płyty głównej lub w opisach na stronie producenta komputera, płyty głównej.

Następnie jak już załadujemy "WinRE" i zalogujemy się do systemu na swoje konto, to wchodzimy do opcji "Wiersza poleceń".

Sprawdzamy, pod jaką literką widnieje Pendrive, na którym zostało umieszczone FRST. Najlepszym i najprostszym sposobem jest uruchomienie "Notatnika", czyli w linie komend w "Wierszu poleceń" wpisujemy:

notepad >> zatwierdzamy "Enterem". W notatniku przechodzimy dalej:

Plik >>Otwórz... >> Komputer

Pokazany zostanie widok dysków twardych i nośników wymiennych, do których mamy dostęp.Sprawdzamy, pod jaką literą występuje nasz Pendrive z FRST . W naszym przykładzie jest to "G". Zamykamy okna poza "Wierszem poleceń".

Wpisujemy w nim w linii komend:

G:\frst64.exe (system 64 bit).

Lub:

G:\frst.exe (system 32 Bit).

Pod literą "G" wpisujemy literę, pod jaką mamy swój "Pendrive", u mnie występuje pod "G".

Uruchamia się "FRST i deklaracja zgodności, klikamy w niej na "Tak".

FRST wykonuje od razu "Backup" "Rejestru systemowego".

Dalej w menu programu mamy opcje jak :

-Scan >> wykonanie logów,

-Search Files >> wyszukiwanie plików,

-Search Registry >> wyszukiwanie kluczy rejestru systemowego,

-Fix >> naprawa problemów wykrytych w systemie na podstawie przygotowanego skryptu

Pozostałe opcje skanowania zostawiamy, tak jak są zaznaczone. Można oczywiście zaznaczyć opcje opcjonalne jak lista rozruchu systemu czy systemów na dyskach twardych (List BCD) czy listę sterowników (Drivers MD5).

Rozpoczynamy tworzenie loga przez naciśnięcie "Scan". Skanowanie potrwa ok. 1,5 minuty, na koniec zostaniemy poinformowani komunikatem. Klikamy na "OK". Wyświetlony zostanie log. Jest on zapisany w tym samym miejscu co program "FRST". Wygenerowany log pokazujemy do analizy na forum.

Usuwanie problemów następuje po analizie dokonanej na forum wygenerowanego logu. Zostanie utworzony skrypt, który zapisujemy pod nazwą "fixlist.txt" i umieszczamy/wklejamy obok "FRST" na Pendrive. Czyszczenie polega na ponownym uruchomieniu FRST i naciśnięciu opcji "Fix'.

Możemy też uruchomić "FRST", skopiować otrzymany skrypt. Obecnie "FRST" potrafi znaleźć "fixlist" w schowku systemowym. Po skopiowaniu "fixlist" naciskamy przycisk "Napraw / Fix" w "FRST".

Skrypt zostanie przetworzony przez program, w wyniku czego otrzymany zostanie raport z czyszczenia "fixlog.txt" który pokazać należy na forum w celu analizy.

Może zdarzyć się także przypadek, kiedy nie zostanie od razu uruchomiony "FRST". Dzieje się tak, gdyż Windows 7 tworzy na dysku podczas instalacji dwie partycje, systemową i rozruchową, która  jedna jest ukryta, na tej ukrytej są pliki rozruchowe systemu, tak zwana partycja "Reserved". W Windows nie jest ona widziana, natomiast jest spod środowiska zewnętrznego. Otrzymuje ona wtedy literę "C" a partycja systemowa otrzymuje dalszą literę. Program FRST jest przystosowany do pracy z partycją systemową na "C", więc przeprowadza działanie tymczasowe, by nadać partycji z systemem literę "C", czyli wpierw otrzymane zostaną komunikaty ustawiania dysku lokalnego, odliczanie, komunikat, by ponownie uruchomić "FRST".po zakończeniu pracy z programem wszystko wróci do stanu, jak było przed uruchomieniem aplikacji.

Opracowany na podstawie poradników znalezionych w sieci i głównie na forum "www.fixitpc.pl".

Gdy ktoś zechce bardziej zapoznać się z programem, odsyłam do jego oficjalnego poradnika na forum "www.fixitpc.pl":

Kliknij.

Poradnik opracowany przez Illidan ©® 09.11.2014

Starsza wersja artykułu przygotowana pod nieistniejące już form "Komputer Świat"

Aktualizacja: 17.10.2023

Artykuł na licencji Uznanie autorstwa-Użycie niekomercyjne-Na tych samych warunkach 3.0 Polska (CC BY-NC-SA 3.0 PL)